入侵检测技术原理研究论文 第4页
机等,极大的拓展了自己的知识面,这所带来的收获已经不仅仅停留在对入侵检测技术技术研究这个层面上。
2 入侵检测技术原理
入侵检测技术(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测技术未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。
入侵检测技术作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测技术系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
◆ 监视、分析用户及系统活动;
◆ 系统构造和弱点的审计;
◆ 识别反映已知进攻的活动模式并向相关人士报警;
◆ 异常行为模式的统计分析;
◆ 评估重要系统和数据文件的完整性;
◆ 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测技术系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测技术的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测技术系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
2.1 入侵检测技术第一步——信息收集
在现实生活中,警察要证明罪犯有罪,必须先收集证据。只有掌握了充足的证据,才能顺利破案。IDS也是一样。一般来说,IDS通过2种方式获得信息:
2.1.1 网络入侵检测技术模块方式
当一篇文章从网络的一端传向另一端时,是被封装成一个个小包(叫做报文)来传送的。每个包包括了文章中的一段文字,在到达另一端之后,这些包再被组装起来。因此,我们可以通过检测技术网络中的报文来达到获得信息的目的。一般来说,检测技术方式只能够检测技术到本机的报文,为了监视其他机器的报文,需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块,我们可以监视受保护机器的数据报文。在受保护的机器将要受到攻击之前,入侵检测技术模块可最先发现它。
实际应用中网络结构千差万别,用户只有根据具体情况分别设计实施方案,才能让网络入侵检测技术模块检测技术到需要保护机器的状况。同时,网络入侵检测技术模块得到的只是网络报文,获得的信息没有主机入侵检测技术模块全面,所检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便,不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块即可。
2.1.2 主机入侵检测技术模块方式
另外一种获取信息的方式是主机入侵检测技术模块方式。它是在受保护的机器上安装了主机入侵检测技术模块,专门收集受保护机器上的信息。其信息来源可以是系统日志和特定应用程序日志,也可以是捕获特定的进程和系统调用等等。
采用主机入侵检测技术模块方式的缺点是依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。由于一个网络中有多种不同的操作系统,很难保证每个操作系统都有对应的主机入侵检测技术模块,而一个主机入侵检测技术模块只能保护本机,所以在使用上有很大的局限性。此外,它要求在每个机器上安装,如果装机数量大时,对用户来说,是一笔很大的投入。不过,这种模式不受网络结构的限制,在使用中还能够利用操作系统的资源,以更精确地判断出入侵行为。
在具体应用中,以上2种获得信息的方式是互为补充的。
2.1.3信息来源的四个方面
就信息收集来说,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测技术范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然,入侵检测技术很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用当前的优秀软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测技术网络系统的软件的完整性,特别是入侵检测技术系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
入侵检测技术利用的信息一般来自以下四个方面:
1)系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测技术入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2)目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>
入侵检测技术原理研究论文 第4页下载如图片无法显示或论文不完整,请联系qq752018766
